• Article

Bulletin de sécurité

Bulletin de sécurité Microsoft MS07-028 - Critique

La vulnérabilité dans CAPICOM peut autoriser l’exécution de code à distance (931906)

Publication : 08 mai 2007

Version : 1.0

Résumé

Qui devez lire ce document : Clients qui utilisent CAPICOM ou BizTalk 2004

Impact de la vulnérabilité : exécution de code à distance

Évaluation de gravité maximale : Critique

Recommandation : Les clients doivent appliquer immédiatement la mise à jour

Remplacement des mises à jour de sécurité : Aucun

Mises en garde : Aucun

Emplacements de téléchargement des mises à jour logicielles et des mises à jour de sécurité testés :

Logiciels affectés :

Logiciels non affectés :

  • BizTalk Server 2000
  • BizTalk Server 2002
  • BizTalk Server 2006

Le logiciel de cette liste a été testé pour déterminer si les versions sont affectées. Les autres versions sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de support de votre produit et de votre version, visitez le site web Support Microsoft cycle de vie.

Informations générales

Résumé

Résumé:

Cette mise à jour résout une vulnérabilité récemment découverte et signalée en privé. La vulnérabilité est documentée dans sa propre sous-section de la section Détails des vulnérabilités de ce bulletin.

Nous recommandons aux clients d’appliquer immédiatement la mise à jour.

Évaluations de gravité et identificateurs de vulnérabilité :

Identificateurs de vulnérabilité Impact de la vulnérabilité CAPICOM Microsoft BizTalk Server 2004
CAPICOM. Vulnérabilité des certificats - CVE-2007-0940 Exécution de code à distance Critique Critique

Cette évaluation est basée sur les types de systèmes affectés par la vulnérabilité, leurs modèles de déploiement classiques et l’effet que l’exploitation de la vulnérabilité aurait sur eux.

Quelles mises à jour cette version remplace-t-elle ?
Cette mise à jour de sécurité ne remplace aucune mise à jour de sécurité antérieure.

Puis-je utiliser Microsoft Baseline Security Analyzer (Mo SA) pour déterminer si cette mise à jour est requise ?
Le tableau suivant fournit le résumé de la détection Mo SA pour cette mise à jour de sécurité.

Produit Mo SA 1.2.1 EST Mo SA 2.0.1
CAPICOM Non Oui Oui
BizTalk Server 2004 Non Oui Oui

Pour plus d’informations sur Mo SA, visitez le site web Mo SA. Pour plus d’informations sur les logiciels que Microsoft Update et Mo SA 2.0 ne détectent actuellement pas, consultez l’article 895660 de la Base de connaissances Microsoft.

Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 910723 : Liste récapitulative des articles sur la détection et le déploiement mensuels.

Qu’est-ce que l’outilEnterpriseUpdate Scan (EST) ?
Dans le cadre d’un engagement continu à fournir des outils de détection pour les mises à jour de sécurité de classe de bulletin, Microsoft fournit un outil de détection autonome chaque fois que Microsoft Baseline Security Analyzer 1.2.1 et l’outil de détection de Bureau (ODT) ne peuvent pas détecter si la mise à jour est requise pour un cycle de publication MSRC. Cet outil autonome est appelé Enterprise Update Scan Tool (EST) et est conçu pour les administrateurs d’entreprise. Lorsqu’une version de l’outil d’analyse de mise à jour d’entreprise est créée pour un bulletin spécifique, les clients peuvent exécuter l’outil à partir d’une interface de ligne de commande (CLI) et afficher les résultats du fichier de sortie XML. Pour aider les clients à mieux utiliser l’outil, une documentation détaillée sera fournie avec l’outil. Il existe également une version de l’outil qui offre une expérience intégrée pour les administrateurs SMS.

Puis-je utiliser une version de l’outilEnterpriseUpdate Scan Tool (EST) pour déterminer si cette mise à jour est requise ?
Oui. Microsoft a créé une version d’EST qui détermine si vous devez appliquer cette mise à jour. Pour obtenir des liens de téléchargement et plus d’informations sur la version d’EST publiée ce mois-ci, consultez l’article de la Base de connaissances Microsoft 894193. Les clients SMS doivent consulter la FAQ suivante : « Puis-je utiliser Systems Management Server (SMS) pour déterminer si cette mise à jour est requise ? » pour plus d’informations sur SMS et EST.

Puis-je utiliser Systems Management Server (SMS) pour déterminer si cette mise à jour est requise ?
Le tableau suivant fournit le résumé de la détection SMS pour cette mise à jour de sécurité.

Produit SMS 2.0 SMS 2003
CAPICOM Oui (avec EST) Oui
BizTalk Server 2004 Oui (avec EST) Oui

SMS 2.0 et SMS 2003 Software Update Services (SUS) Feature Pack peuvent utiliser Mo SA 1.2.1 pour la détection et ont donc la même limitation que celle répertoriée plus haut dans ce bulletin lié aux programmes que Mo SA 1.2.1 ne détecte pas.

Pour SMS 2.0, le pack de fonctionnalités SMS SUS, qui inclut l’outil d’inventaire des mises à jour de sécurité (SUIT), peut être utilisé par SMS pour détecter les mises à jour de sécurité. SMS SUIT utilise le moteur Mo SA 1.2.1 pour la détection. Pour plus d’informations sur SUIT, visitez le site web Microsoft suivant. Pour plus d’informations sur les limitations de SUIT, consultez l’article 306460 de la Base de connaissances Microsoft. Le pack de fonctionnalités SMS SUS inclut également l’outil d’inventaire Microsoft Bureau pour détecter les mises à jour requises pour microsoft application Office lications.

Pour SMS 2003, l’outil d’inventaire SMS 2003 pour Microsoft Mises à jour (ITMU) peut être utilisé par SMS pour détecter les mises à jour de sécurité proposées par Microsoft Update et prises en charge par Windows Server Update Services. Pour plus d’informations sur l’ITMU SMS 2003, visitez le site Web Microsoft suivant. SMS 2003 peut également utiliser l’outil Microsoft Bureau Inventory pour détecter les mises à jour requises pour microsoft application Office lications.

Pour plus d’informations sur SMS, visitez le site web SMS.

Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 910723 : Liste récapitulative des articles sur la détection et le déploiement mensuels.

Puis-je utiliser SMS pour déterminer si d’autres programmes sont installés qui doivent être mis à jour ?
Oui. SMS peut vous aider à détecter s’il existe d’autres programmes installés qui ont peut-être installé une version du composant vulnérable. SMS peut rechercher l’existence du fichier CAPICOM.dll. Mettez à jour toutes les versions de CAPICOM.dll antérieures à la version 2.1.0.2.

Détails de la vulnérabilité

CAPICOM. Vulnérabilité des certificats - CVE-2007-0940 :

Une vulnérabilité d’exécution de code à distance existe dans le modèle d’objet du composant de l’API de chiffrement (CAPICOM) qui pourrait permettre à un attaquant qui a réussi à exploiter cette vulnérabilité pour prendre le contrôle complet du système concerné.

Atténuation des facteurs pour CAPICOM. Vulnérabilité des certificats - CVE-2007-0940 :

  • Dans un scénario d’attaque web, un attaquant doit héberger un site Web qui contient une page Web utilisée pour exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site Web spécialement conçu. Au lieu de cela, un attaquant aurait à les convaincre de visiter le site Web, généralement en les obtenant pour cliquer sur un lien qui les emmène sur le site Web de l’attaquant. Une fois qu’ils cliquent sur le lien, ils sont invités à effectuer plusieurs actions. Une attaque ne peut se produire qu’après avoir effectué ces actions.
  • Un attaquant qui a réussi à exploiter cette vulnérabilité peut obtenir les mêmes droits d’utilisateur que l’utilisateur local. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
  • Par défaut, toutes les versions prises en charge de Microsoft Outlook et de Microsoft Outlook Express ouvrent des messages électroniques HTML dans la zone Sites restreints. La zone Sites restreints permet de réduire le nombre d’attaques réussies qui exploitent cette vulnérabilité en empêchant les contrôles Active Script et ActiveX d’être utilisés lors de la lecture de courrier html. Toutefois, si un utilisateur clique sur un lien dans un e-mail, il peut toujours être vulnérable à ce problème via le scénario d’attaque basé sur le web.
  • Par défaut, Internet Explorer sur Windows Server 2003 s’exécute en mode restreint appelé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité de la zone Internet sur High. Il s’agit d’un facteur d’atténuation pour les sites Web qui n’ont pas été ajoutés à la zone sites approuvés Internet Explorer. Pour plus d’informations sur la configuration de sécurité renforcée d’Internet Explorer, consultez la sous-section faq de cette section sur cette vulnérabilité.
  • Par défaut, ce contrôle ActiveX n’est pas inclus dans la liste verte par défaut pour les contrôles ActiveX dans Internet Explorer 7. Seuls les clients qui ont explicitement approuvé ce contrôle à l’aide de la fonctionnalité d’opt-in ActiveX risquent d’exploiter cette vulnérabilité. Toutefois, si un client a utilisé ce contrôle ActiveX dans une version précédente d’Internet Explorer, ce contrôle ActiveX est activé pour fonctionner dans Internet Explorer 7, même si le client ne l’a pas explicitement approuvé à l’aide de la fonctionnalité d’opt-in ActiveX.

Solutions de contournement pour capICOM. Vulnérabilité des certificats - CVE-2007-0940 :

Microsoft a testé les solutions de contournement suivantes. Bien que ces solutions de contournement ne corrigent pas la vulnérabilité sous-jacente, elles aident à bloquer les vecteurs d’attaque connus. Lorsqu’une solution de contournement réduit les fonctionnalités, elle est identifiée dans la section suivante.

  • Désactiver les tentatives d’instanciation du contrôle CAPICOM dans Internet Explorer
    Vous pouvez désactiver les tentatives d’instanciation de ce contrôle ActiveX en définissant le bit de destruction pour le contrôle dans le Registre.

    Avertissement Si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de provoquer de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas vous garantir que vous pourrez résoudre les problèmes qui résulteront d'une mauvaise utilisation de l'éditeur du registre. Son utilisation est sous votre entière responsabilité.

    Pour obtenir des étapes détaillées que vous pouvez utiliser pour empêcher l’exécution d’un contrôle dans Internet Explorer, consultez l’article de la Base de connaissances Microsoft 240797. Suivez ces étapes dans cet article pour créer une valeur d’indicateurs de compatibilité dans le Registre pour empêcher l’instanciation d’un objet COM dans Internet Explorer.

    Pour définir le bit de destruction pour les CLSID avec la valeur de :

    • {17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}
    • {FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}

    Collez le texte suivant dans un éditeur de texte tel que Bloc-notes Windows. Ensuite, enregistrez le fichier à l’aide de l’extension de nom de fichier .reg.

    Éditeur de Registre Windows version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}]

    « Indicateurs de compatibilité"=dword :00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}]

    « Indicateurs de compatibilité"=dword :00000400

    Vous pouvez appliquer ce fichier .reg à des systèmes individuels en double-cliquant dessus. Vous pouvez également l’appliquer dans différents domaines à l’aide de la stratégie de groupe. Pour plus d’informations sur la stratégie de groupe, consultez les sites Web Microsoft suivants :

    Regroupement de stratégies de groupe

    Qu’est-ce que l’Éditeur d’objets de stratégie de groupe ?

    Principaux outils et paramètres de stratégie de groupe

Remarque : Vous devez redémarrer Internet Explorer pour que vos modifications prennent effet.

Impact de la solution de contournement : le contrôle CAPICOM ne peut plus s’afficher ou fonctionner correctement.

  • Configurer Internet Explorer pour qu’il vous invite avant d’exécuter des contrôles ActiveX ou de désactiver les contrôles ActiveX dans la zone de sécurité Internet et intranet local
    Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres Internet Explorer pour qu’ils s’affichent avant d’exécuter des contrôles ActiveX. Pour ce faire, procédez comme suit :

    1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils .
    2. Cliquez sur l’onglet Security .
    3. Cliquez sur Internet, puis sur Niveau personnalisé.
    4. Sous Paramètres, dans la section Contrôles et plug-ins ActiveX, sous Exécuter les contrôles ActiveX et les plug-ins, cliquez sur Invite ou Désactiver, puis sur OK.
    5. Cliquez sur Intranet local, puis sur Niveau personnalisé.
    6. Sous Paramètres, dans la section Contrôles et plug-ins ActiveX, sous Exécuter les contrôles ActiveX et les plug-ins, cliquez sur Invite ou Désactiver, puis sur OK.
    7. Cliquez sur OK deux fois pour revenir à Internet Explorer.

Impact de la solution de contournement : il existe des effets secondaires à l’invite avant d’exécuter des contrôles ActiveX. De nombreux sites Web qui se trouvent sur Internet ou sur un intranet utilisent ActiveX pour fournir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser des contrôles ActiveX pour fournir des menus, des formulaires de commande ou même des relevés de compte. L’invite avant d’exécuter des contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. Vous serez invité fréquemment lorsque vous activez cette solution de contournement. Pour chaque invite, si vous pensez que vous faites confiance au site que vous visitez, cliquez sur Oui pour exécuter des contrôles ActiveX. Si vous ne souhaitez pas être invité à entrer tous ces sites, suivez les étapes décrites dans « Ajouter des sites approuvés à la zone sites approuvés Internet Explorer ».

Ajouter des sites approuvés à la zone sites approuvés d’Internet Explorer

Après avoir défini Internet Explorer pour exiger une invite avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone intranet local, vous pouvez ajouter des sites que vous approuvez à la zone sites approuvés d’Internet Explorer. Cela vous permettra de continuer à utiliser des sites Web approuvés exactement comme vous le faites aujourd’hui, tout en vous aidant à vous protéger contre cette attaque sur des sites non approuvés. Nous vous recommandons d’ajouter uniquement des sites approuvés à la zone sites approuvés.

Pour ce faire, procédez comme suit : 1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité. 2. Dans la zone Sélectionner un contenu web pour spécifier sa zone de paramètres de sécurité actuelle, cliquez sur Sites approuvés, puis sur Sites. 3. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, cliquez pour effacer la case Exiger la vérification du serveur (https :) pour tous les sites de cette zone case activée zone. 4. Dans la zone Ajouter ce site Web à la zone de zone , tapez l’URL d’un site approuvé, puis cliquez sur Ajouter. 5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à la zone. 6. Cliquez sur OK deux fois pour accepter les modifications et revenir à Internet Explorer.

Notez que vous ajoutez tous les sites que vous approuvez pour ne pas effectuer d’action malveillante sur votre ordinateur. En particulier, vous souhaiterez peut-être ajouter « *.windowsupdate.microsoft.com » et « *.update.microsoft.com » (sans guillemets). Il s’agit des sites qui hébergeront la mise à jour et qui nécessitent un contrôle ActiveX pour installer la mise à jour.

  • Définissez les paramètres de zone de sécurité Internet et Intranet local sur « Élevé » pour qu’ils s’affichent avant d’exécuter des contrôles ActiveX et des scripts actifs dans ces zones
    Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres de la zone de sécurité Internet pour vous inviter avant d’exécuter des contrôles ActiveX. Pour ce faire, définissez la sécurité de votre navigateur sur High.

    Pour augmenter le niveau de sécurité de navigation dans Microsoft Internet Explorer, procédez comme suit :

    1. Dans le menu Outils Internet Explorer, cliquez sur Options Internet.
    2. Dans la boîte de dialogue Options Internet, cliquez sur l’onglet Sécurité , puis sur l’icône Internet .
    3. Sous Niveau de sécurité pour cette zone, déplacez le curseur vers Haut. Cela définit le niveau de sécurité pour tous les sites web que vous visitez à High.

    Remarque Si aucun curseur n’est visible, cliquez sur Niveau par défaut, puis déplacez le curseur vers Haut.

    Notez que la définition du niveau élevé peut entraîner le fonctionnement incorrect de certains sites Web. Si vous avez des difficultés à utiliser un site Web après avoir modifié ce paramètre et que vous êtes sûr que le site est sûr d’être utilisé, vous pouvez ajouter ce site à votre liste de sites approuvés. Cela permet au site de fonctionner correctement même avec le paramètre de sécurité défini sur High.

Impact de la solution de contournement : il existe des effets secondaires à l’invite avant d’exécuter des contrôles ActiveX. De nombreux sites Web qui se trouvent sur Internet ou sur un intranet utilisent ActiveX pour fournir des fonctionnalités supplémentaires. Par exemple, un site de commerce électronique en ligne ou un site bancaire peut utiliser des contrôles ActiveX pour fournir des menus, des formulaires de commande ou même des relevés de compte. L’invite avant d’exécuter des contrôles ActiveX est un paramètre global qui affecte tous les sites Internet et intranet. Vous serez invité fréquemment lorsque vous activez cette solution de contournement. Pour chaque invite, si vous pensez que vous faites confiance au site que vous visitez, cliquez sur Oui pour exécuter des contrôles ActiveX. Si vous ne souhaitez pas être invité à entrer tous ces sites, suivez les étapes décrites dans « Ajouter des sites approuvés à la zone sites approuvés Internet Explorer ».

Ajouter des sites approuvés à la zone sites approuvés d’Internet Explorer

Après avoir défini Internet Explorer pour exiger une invite avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone intranet local, vous pouvez ajouter des sites que vous approuvez à la zone sites approuvés d’Internet Explorer. Cela vous permettra de continuer à utiliser des sites Web approuvés exactement comme vous le faites aujourd’hui, tout en vous aidant à vous protéger contre cette attaque sur des sites non approuvés. Nous vous recommandons d’ajouter uniquement des sites approuvés à la zone sites approuvés.

Pour ce faire, procédez comme suit : 1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité. 2. Dans la zone Sélectionner un contenu web pour spécifier sa zone de paramètres de sécurité actuelle, cliquez sur Sites approuvés, puis sur Sites. 3. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, cliquez pour effacer la case Exiger la vérification du serveur (https :) pour tous les sites de cette zone case activée zone. 4. Dans la zone Ajouter ce site Web à la zone de zone , tapez l’URL d’un site approuvé, puis cliquez sur Ajouter. 5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à la zone. 6. Cliquez sur OK deux fois pour accepter les modifications et revenir à Internet Explorer.

Notez que vous ajoutez tous les sites que vous approuvez pour ne pas effectuer d’action malveillante sur votre ordinateur. En particulier, vous souhaiterez peut-être ajouter « *.windowsupdate.microsoft.com » et « *.update.microsoft.com » (sans guillemets). Il s’agit des sites qui hébergeront la mise à jour et qui nécessitent un contrôle ActiveX pour installer la mise à jour.

FAQ pour CAPICOM. Vulnérabilité des certificats - CVE-2007-0940 :

Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’exécution de code à distance. Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre à distance le contrôle complet d’un système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.

Quelles sont les causes de la vulnérabilité ?
La façon dont la classe CERTIFICATS CAPICOM gère certaines entrées provoque la vulnérabilité. Le contrôle ActiveX peut, s’il a passé des données inattendues, échouer de telle sorte qu’il puisse autoriser l’exécution de code distant.

Qu’est-ce que CAPICOM. Certificats?
CAPICOM. Les certificats sont un contrôle ActiveX qui fournit des scripteurs (VBS, ASP, ASP.NET etc.) avec une méthode pour chiffrer des données basées sur des fonctionnalités Windows CryptoAPI sous-jacentes sécurisées. La suite CAPICOM est également disponible en téléchargement en tant que redistribuable du SDK de plateforme : CAPICOM et fait également partie des SDK de plateforme Windows et du Kit de pilotes Windows.

Que se passe-t-il si je développe des applications ou des logiciels et redistribue CAPICOM ?
Vous devez télécharger la dernière version du SDK Platform SDK Redistributable : CAPICOM. Cette nouvelle version contient le CAPICOM.dll mis à jour associé à cette mise à jour de sécurité.

Comment faire savoir si j’ai CAPICOM. Certificats installés et inscrits ?
Vous pouvez vérifier si CAPICOM est installé en recherchant CAPICOM.dll sur votre système. Si vous avez la version 2.1.01 ou inférieure, vous devez mettre à jour votre système.

Vous pouvez vérifier si vous avez une combinaison des clés de Registre suivantes pour vérifier si vous disposez d’une version vulnérable du CAPICOM. Certificats Contrôle ActiveX inscrit sur votre système :

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM. Certificates.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM. Certificates.2\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM. Certificates.3\CLSID

Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet du système concerné. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.

Pourquoi l’ancienne version de CAPICOM.dll est-elle toujours sur le système après avoir installé cette mise à jour de sécurité ?
Les utilisateurs peuvent avoir installé CAPICOM.dll à partir d’une source autre que Microsoft. CAPICOM.dll peut avoir été installé par un produit autre que Microsoft. Étant donné que la mise à jour de sécurité ne peut pas déterminer l’origine de la version CAPICOM.dll précédente, elle est laissée sur le système pour la compatibilité des applications. La version précédente ne laisse pas votre système vulnérable à cette vulnérabilité.

Qui pouvez exploiter la vulnérabilité ?
Dans un scénario d’attaque web, un attaquant doit héberger un site Web contenant une page Web utilisée pour tenter d’exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site Web spécialement conçu. Au lieu de cela, un attaquant aurait à les convaincre de visiter le site Web, généralement en les obtenant pour cliquer sur un lien qui les amène au site de l’attaquant.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Cette vulnérabilité nécessite qu’un utilisateur soit connecté et visite un site Web pour que toute action malveillante se produise. Par conséquent, tous les systèmes sur lesquels les certificats CAPICOM sont installés et enregistrés où Internet Explorer est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal, sont les plus exposés à cette vulnérabilité.

J’exécute Internet Explorer 7. Cela atténue-t-il cette vulnérabilité ?
Oui. Les clients qui exécutent Internet Explorer 7 avec des paramètres par défaut ne sont pas à risque tant que le contrôle Certificats CAPICOM n’a pas été activé via la fonctionnalité d’adhésion ActiveX dans la zone Internet. Toutefois, si un client a utilisé ce contrôle ActiveX dans une version précédente d’Internet Explorer, ce contrôle ActiveX est activé pour fonctionner dans Internet Explorer 7, même si le client ne l’a pas explicitement approuvé à l’aide de la fonctionnalité d’opt-in ActiveX.

Qu’est-ce que la fonctionnalité d’adhésion ActiveX dans Internet Explorer 7 ?
Internet Explorer 7 inclut une fonctionnalité d’opt-in ActiveX, ce qui signifie que presque tous les contrôles ActiveX préinstallés sont désactivés par défaut. Les utilisateurs sont invités par la barre d’informations avant de pouvoir accéder à un contrôle ActiveX précédemment installé qui n’a pas encore été utilisé sur Internet. Cela permet à un utilisateur d’autoriser ou de refuser l’accès sur une base de contrôle par contrôle. Pour plus d’informations sur cette fonctionnalité et d’autres nouvelles fonctionnalités, consultez la page fonctionnalités de Windows Internet Explorer 7.

J’exécute Internet Explorer sur Windows Server 2003. Cela atténue-t-il cette vulnérabilité ?
Oui. Par défaut, Internet Explorer sur Windows Server 2003 s’exécute en mode restreint appelé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité de la zone Internet sur High. Il s’agit d’un facteur d’atténuation pour les sites Web qui n’ont pas été ajoutés à la zone sites approuvés Internet Explorer. Consultez la section FAQ de cette mise à jour de sécurité pour plus d’informations sur la configuration de sécurité renforcée d’Internet Explorer.

Qu’est-ce que la configuration de sécurité renforcée d’Internet Explorer ?
La configuration de sécurité renforcée d’Internet Explorer est un groupe de paramètres Internet Explorer préconfigurés qui réduisent la probabilité qu’un utilisateur ou un administrateur télécharge et exécute du contenu web malveillant sur un serveur. La configuration de sécurité renforcée d’Internet Explorer réduit cette menace en modifiant de nombreux paramètres liés à la sécurité, notamment les paramètres de sécurité et d’onglet Avancé dans Options Internet. Voici quelques-unes des modifications clés :

  • Le niveau de sécurité de la zone Internet est défini sur High. Ce paramètre désactive les scripts, les composants ActiveX, le contenu HTML de la machine virtuelle Microsoft et les téléchargements de fichiers.
  • La détection automatique des sites intranet est désactivée. Ce paramètre affecte tous les sites web intranet et tous les chemins d’accès UNC (Universal Naming Convention) qui ne sont pas explicitement répertoriés dans la zone Intranet local à la zone Internet.
  • Les extensions de navigateur non-Microsoft et à la demande sont désactivées. Ce paramètre empêche les pages web d’installer automatiquement des composants et empêche l’exécution d’extensions non-Microsoft.
  • Le contenu multimédia est désactivé. Ce paramètre empêche l’exécution de musique, d’animations et de clips vidéo.

Pour plus d’informations sur la configuration de sécurité renforcée d’Internet Explorer, consultez le guide de configuration de la sécurité renforcée d’Internet Explorer, qui se trouve sur le site web suivant.

Que fait la mise à jour ?
La mise à jour supprime la vulnérabilité en modifiant la façon dont capICOM est modifié. Le contrôle ActiveX certificats effectue la validation des paramètres. Il traite également des problèmes supplémentaires découverts par le biais d’enquêtes internes.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Non. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation responsable.

Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients et n’avait pas vu d’exemples de preuve de code de concept publié lorsque ce bulletin de sécurité a été émis à l’origine.

Informations sur les mises à jour de sécurité

Logiciels affectés :

Pour plus d’informations sur la mise à jour de sécurité spécifique pour votre logiciel concerné, consultez la section appropriée :

CAPICOM et BizTalk Server 2004

Conditions préalables
Cette mise à jour de sécurité nécessite que les certificats CAPICOM soient installés et inscrits. BizTalk Server 2004 installe les certificats CAPICOM. Cette mise à jour fonctionne pour les installations autonomes et BizTalk Server 2004. Les produits non-Microsoft peuvent redistribuer et installer CAPICOM.dll. Reportez-vous au FAQ « Comment faire savoir si j’ai installé et inscrit Capicom.Certificates ? » pour plus d’informations.

Inclusion dans les Service Packs futurs
La mise à jour de ce problème peut être incluse dans un correctif cumulatif de Service Pack ou de mise à jour pour Microsoft BizTalk Server 2004.

Informations d’installation

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants.

Commutateur Description
Modes d’installation
/q Spécifie le mode silencieux ou supprime les invites lorsque des fichiers sont extraits.
/q :u Spécifie le mode silencieux utilisateur, qui présente certaines boîtes de dialogue à l’utilisateur.
/q :a Spécifie le mode silencieux administrateur, qui ne présente aucune boîte de dialogue à l’utilisateur.
Options spéciales
/t :<full path> Spécifie le dossier cible pour l’extraction de fichiers.
/c Extrait les fichiers sans les installer. Si le chemin /T : n’est pas spécifié, l’utilisateur est invité à entrer un dossier cible.
/c :<Cmd> Remplacer la commande d’installation définie par l’auteur. Spécifie le chemin d’accès et le nom du fichier setup .inf ou .exe.

Notez que ces commutateurs ne fonctionnent pas nécessairement avec toutes les mises à jour. Si un commutateur n’est pas disponible, cette fonctionnalité est nécessaire pour l’installation correcte de la mise à jour. Si l’installation échoue, vous devez consulter votre professionnel du support technique pour comprendre pourquoi elle n’a pas pu être installée.

Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez l’article 197147 de la Base de connaissances Microsoft.

Informations de déploiement

Pour installer la mise à jour de sécurité sans intervention de l’utilisateur, utilisez la commande suivante à l’invite de commandes :

CAPICOM-Ko 931906-v2102 /q :a

Pour plus d’informations sur le déploiement de cette mise à jour de sécurité à l’aide de Software Update Services, visitez le site web des services de mise à jour logicielle. Pour plus d’informations sur le déploiement de cette mise à jour de sécurité à l’aide de Windows Server Update Services, visitez le site web windows Server Update Services. Cette mise à jour de sécurité sera également disponible via le site web Microsoft Update.

Configuration requise pour le redémarrage

Cette mise à jour ne nécessite pas de redémarrage.

Informations de suppression

Pour supprimer cette mise à jour de sécurité, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.

Informations sur le fichier

La version anglaise de cette mise à jour de sécurité contient les attributs de fichier répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations du fichier, elle est convertie en heure locale. Pour trouver la différence entre l’heure UTC et l’heure locale, utilisez l’onglet Fuseau horaire dans l’outil Date et Heure dans Panneau de configuration.

Nom du fichier Version Date Heure Taille
License.mht NA 26-février-2007 23:16 142,534
License.rtf NA 26-février-2007 23:16 134,577
CAPICOM.dll 2.1.0.2 11-Avril-2007 18:11 511,328

Vérification de l’application de la mise à jour

  • Vérification de version de fichier

    Notez qu’il existe plusieurs versions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre ordinateur. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.

    1. Cliquez sur Démarrer, puis sur Rechercher.

    2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.

    3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.

    4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.

      Notez que , selon la version du système d’exploitation ou des programmes installés, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.

    5. Sous l’onglet Version , déterminez la version du fichier installé sur votre ordinateur en la comparant à la version documentée dans la table d’informations de fichier appropriée.

      Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier que la mise à jour a été appliquée. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

  • Vérification de la clé de Registre
    Vous pouvez également vérifier les fichiers installés par cette mise à jour de sécurité en examinant la clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM. Certificates.4\CLSID

Autres informations

Accusés de réception

Microsoft remercie ce qui suit pour nous aider à protéger les clients :

  • Chris Ries of VigilantMinds Inc. pour avoir signalé le CAPICOM. Vulnérabilité des certificats (CVE-2007-0940)

Obtention d’autres Mises à jour de sécurité :

Mises à jour pour d’autres problèmes de sécurité sont disponibles aux emplacements suivants :

  • Les mises à jour de sécurité sont disponibles dans le Centre de téléchargement Microsoft. Vous pouvez les trouver plus facilement en effectuant une recherche mot clé pour « security_patch ».
  • Mises à jour pour les plateformes grand public sont disponibles à l’adresse Site web Microsoft Update.

Support :

  • Les clients aux États-Unis et au Canada peuvent recevoir un support technique de Microsoft Product Support Services au 1-866-PCSAFETY. Il n’existe aucun frais pour les appels de support associés aux mises à jour de sécurité.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Il n’existe aucun frais pour la prise en charge associée aux mises à jour de sécurité. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support, visitez le site web du support international.

Ressources de sécurité :

Software Update Services :

En utilisant Microsoft Software Update Services (SUS), les administrateurs peuvent déployer rapidement et de manière fiable les dernières mises à jour critiques et mises à jour de sécurité sur les serveurs Windows 2000 et Windows Server 2003, ainsi que sur les systèmes de bureau exécutant Windows 2000 Professionnel ou Windows XP Professionnel.

Pour plus d’informations sur le déploiement des mises à jour de sécurité à l’aide de Software Update Services, visitez le site web des services de mise à jour logicielle.

Windows Server Update Services :

À l’aide de Windows Server Update Services (WSUS), les administrateurs peuvent déployer rapidement et de manière fiable les dernières mises à jour critiques et mises à jour de sécurité pour les systèmes d’exploitation Windows 2000 et versions ultérieures, Bureau XP et versions ultérieures, Exchange Server 2003 et SQL Server 2000 sur windows 2000 et versions ultérieures.

Pour plus d’informations sur le déploiement des mises à jour de sécurité à l’aide de Windows Server Update Services, visitez le site web windows Server Update Services.

Serveur d’administration des systèmes :

Microsoft Systems Management Server (SMS) fournit une solution d’entreprise hautement configurable pour la gestion des mises à jour. En utilisant SMS, les administrateurs peuvent identifier les systèmes Windows qui nécessitent des mises à jour de sécurité et peuvent effectuer un déploiement contrôlé de ces mises à jour dans l’entreprise avec une interruption minimale pour les utilisateurs finaux. Pour plus d’informations sur la façon dont les administrateurs peuvent utiliser SMS 2003 pour déployer des mises à jour de sécurité, visitez le site web de gestion des correctifs de sécurité SMS 2003. Les utilisateurs sms 2.0 peuvent également utiliser software Mises à jour Service Feature Pack pour aider à déployer des mises à jour de sécurité. Pour plus d’informations sur SMS, visitez le site web SMS.

Notez que SMS utilise Microsoft Baseline Security Analyzer, Microsoft Bureau Detection Tool et Enterprise Update Scan Tool pour fournir une prise en charge étendue de la détection et du déploiement des mises à jour des bulletins de sécurité. Certaines mises à jour logicielles peuvent ne pas être détectées par ces outils. Administration istrateurs peuvent utiliser les fonctionnalités d’inventaire des SMS dans ces cas pour cibler les mises à jour vers des systèmes spécifiques. Pour plus d’informations sur cette procédure, visitez le site web suivant. Certaines mises à jour de sécurité nécessitent des droits d’administration après un redémarrage du système. Administration istrateurs peuvent utiliser l’outil de déploiement de droits élevés (disponible dans le pack de fonctionnalités SMS 2003 Administration istration et dans le pack de fonctionnalités SMS 2.0 Administration istration) pour installer ces mises à jour.

Exclusion de responsabilité :

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

  • V1.0 (8 mai 2007) : Bulletin publié.

Construit à 2014-04-18T13 :49 :36Z-07 :00